Analyse différentielle de binaires

Documents pareils
Chapitre 2 : Abstraction et Virtualisation

OSSIR Groupe SécuritS. curité Windows. Réunion du du 9 octobre 2006 EADS. Réunion OSSIR du 09/10/2006. page 1

Cycle de vie du logiciel. Unified Modeling Language UML. UML: définition. Développement Logiciel. Salima Hassas. Unified Modeling Language

Impression de sécurité?

Comment choisir la solution de gestion des vulnérabilités qui vous convient?

La gestion des correctifs de sécurité avec WinReporter et RemoteExec

IBM SPSS Collaboration and Deployment Services Deployment Manager 5 - Instructions d installation

Le Cert-IST Déjà 10 ans!

Aide à l installation et à la migration en HelloDoc 5.60

Faille dans Internet Explorer 7

Méthode d Évaluation des Coûts liés à l Open Source (ECOS)

Présentation KASPERSKY SYSTEM MANAGEMENT

LA GMAO ACCEDER : PRESENTATION et VISUALISATION

Compilation (INF 564)

OSSIR Groupe SécuritS. curité Windows. Réunion du du février 2006 EADS. Réunion OSSIR du 13/02/2006. page 1

Mode d emploi pour lire des livres numériques

Alliance Healthcare : automatiser pour mieux fluidifier les processus

Découverte de Microsoft Office 2010 et de Microsoft Exchange Server 2010

Créer un référentiel client grâce à Talend MDM

EA D S INNOVA TION W ORKS. Pass The Hash. Nicolas RUFF EADS-IW SE/CS nicolas.ruff (à) eads.net

Évaluation et implémentation des langages

Exigences système Edition & Imprimeries de labeur

EdelWeb. OSSIR Groupe SécuritS. curité Windows. Réunion du du 8 novembre EdelWeb/Groupe ON-X. Réunion OSSIR du 08/11/2004.

Projet Personnel Encadré #5

Retour d expérience sur Prelude

SSTIC Désobfuscation automatique de binaires. Alexandre Gazet. Yoann Guillot. Et autres idyles bucoliques...

PROCEDURE D INSTALLATION et de CONFIGURATION DU SERVICE PACK2 POUR WINDOWS XP

Single User. Guide d Installation

ANTI-VIRUS / PROTECTION DES POSTES DE TRAVAIL ET DES SERVEURS DE FICHIERS

Configuration système requise

TIC. Tout d abord. Objectifs. L information et l ordinateur. TC IUT Montpellier

CONFIGURATION DE L AUTOMATE SIEMENS

4. Utilisation d un SGBD : le langage SQL. 5. Normalisation

Exigences système Commercial & Digital Printing

LES OUTILS D ALIMENTATION DU REFERENTIEL DE DB-MAIN

NEC Virtual PC Center

UE Programmation Impérative Licence 2ème Année

Créer le schéma relationnel d une base de données ACCESS

Stage Ingénieur en développement logiciel/modélisation 3D

Virtualisation et ou Sécurité

Rappels d architecture

IPS : Corrélation de vulnérabilités et Prévention des menaces

Virtualisation Vserver et OpenVz en entreprise

FileMaker Pro 13. Utilisation d une Connexion Bureau à distance avec FileMaker Pro 13

Livre blanc. La sécurité de nouvelle génération pour les datacenters virtualisés

Étude des Spywares. Étudiant : Professeur responsable : En collaboration avec : DE SOUSA Bruno LITZISTORF Gérald TRUPHEME Florent Telecom System 2005

Guide Utilisateur. Les communications unifiées au service de la performance opérationnelle. sfrbusinessteam.fr. Faire équipe avec vous

Exigences système Edition & Imprimeries de labeur

Programmation C. Apprendre à développer des programmes simples dans le langage C

SCAP & XCCDF/OVAL. Standardisation des Opérations de Sécurité et des Validations de Conformité. Benjamin Marandel. Ingénieur Avant-Vente pour McAfee

Comparaison de trois techniques de modélisation de processus: ADONIS, OSSAD et UML

NOMADES ET SMARTPHONES EN ENTREPRISE EN TOUTE SÉCURITÉ PAR BERTRAND THOMAS ET JULIEN COULET

Faille VLC. Faille dans QuickTime

IBM Tivoli Compliance Insight Manager

Environnements de développement (intégrés)

StormShield v4.0 StormShield - Version 4.0 Presentation OSSIR 10 juillet 2006

ELO Office / Pro Les avantages : Archivage et gestion documentaire

Configurer le pare-feu de Windows XP SP2 pour WinReporter

Table des matières. Avant-propos... Préface... XIII. Remerciements...

UEO11 COURS/TD 1. nombres entiers et réels codés en mémoire centrale. Caractères alphabétiques et caractères spéciaux.

Séquencer une application

Documentation d information technique spécifique Education. PGI Open Line PRO

DenyAll Detect. Documentation technique 27/07/2015

Analyses croisées de sites Web pour détecter les sites de contrefaçon. Prof. Dr. Olivier Biberstein

Extraction de données authentifiantes de la mémoire Windows

Configurer le pare-feu de Windows XP SP2/Vista pour UserLock

Introduction aux antivirus et présentation de ClamAV

Procédure d installation des logiciels EBP sous environnement ESU4. Serveur SCRIBE ou Windows

Pack Coaching Blitz Solution

HERMES SYSTEM et BEWISE souhaitent vous offrir les meilleures compétences.

1-Introduction 2. 2-Installation de JBPM 3. 2-JBPM en action.7

Aménagements technologiques

Limitations of the Playstation 3 for High Performance Cluster Computing

Chapitre 1 I:\ Soyez courageux!

Foire aux questions (FAQ)

FICHE TECHNIQUE Suite AdminStudio

IBM Tivoli Monitoring, version 6.1

FileMaker Pro 12. Utilisation d une Connexion Bureau à distance avec FileMaker Pro 12

L informatique en BCPST

Open Vulnerability Assessment System

Communiqué de Lancement

UE 8 Systèmes d information de gestion Le programme

A.E.C. - Gestion des Applications, TI LEA.BW

ANTI-VIRUS / PROTECTION DES POSTES DE TRAVAIL ET DES SERVEURS DE FICHIERS

Atelier Sécurité / OSSIR

Vulnérabilités engendrées par la virtualisation. Jean-Marie Petry / jean-marie.petry@rbs.fr Chef de Projet / Ingénieur ISIAL

<Insert Picture Here>ApExposé. Cédric MYLLE 05 Février Exposé Système et Réseaux : ApEx, Application Express d Oracle

Désinfection de Downadup

Migration du pack office Planification, préparation, déploiement et formation

Security Products Actualités produits Juin 2014

Analyse statique de code dans un cycle de développement Web Retour d'expérience

ASR1 TD7 : Un microprocesseur RISC 16 bits

Audio & Web Conferencing Cisco WebEx Orange Business Services

Vous pouvez à présent à reconfigurer votre messagerie en cliquant ici.

SRS Day. Vue d ensemble. Avérous Julien-Pierre

NatRcs Ce document présente la liste des nouvelles fonctionnalités de la 7.00, disponible à partir de Mars 2011.

ERP Service Negoce. Pré-requis CEGID Business version sur Plate-forme Windows. Mise à jour Novembre 2009

Communiqué de Lancement Sage CRM v Editions Express, Standard et Avancée Module CRM Sage 100 Entreprise. Communiqué de Lancement Sage CRM 6.

Transcription:

Analyse différentielle de binaires Kostya Kortchinsky Responsable du CERT RENATER kostya.kortchinsky@renater.fr OSSIR Septembre 2005 1

Introduction Identification d une vulnérabilité suite à la publication d un correctif Les détails d une vulnérabilité corrigée peuvent ne pas être communiqués MS05-027 : SMB Un éditeur peut être tenté de corriger des failles silencieusement MS04-007 : ASN.1 (Kill Bill) Une comparaison manuelle serait un travail titanesque Automatisation de l analyse et visualisation des différences grâce à des graphes Public : BinDiff de Sabre Security Privé : BindView, NSFocus, idefense, Tenable, RENATER, OSSIR Septembre 2005 2

Concept Les méthodes traditionnelles se révèlent inefficaces Comparaison octet à octet Comparaison du texte désassemblé Représentation des unités logiques basiques du binaire sous forme de graphes Les fonctions sont des graphes d instructions Ou de blocs d instructions consécutives Le binaire est un graphe de fonction Le problème est alors celui d un isomorphisme de graphes Pas non plus forcément évident OSSIR Septembre 2005 3

Signatures Afin de mettre en avant des similarités entre les graphes qui seront les points fixes de l isomorphisme Signatures structurelles Fondées sur les caractéristiques du graphe Peu dépendantes du langage machine Signatures conjoncturelles Fondées sur le contenu des blocs basiques constituant le graphe Très dépendantes du langage machine Chaque signature a ses avantages et ses inconvénients OSSIR Septembre 2005 4

Visualisation Il est plus facile pour un humain (normalement constitué) d étudier les différences entre deux organigrammes colorés qu entre des lignes d assembleur La transition depuis la description choisie est immédiate Représentation textuelle possible grâce au format GDL (Graph Description Language) Un outil supportant ce format est inclus dans IDA Pro : WinGraph32 OSSIR Septembre 2005 5

Applications (1/2) BinDiff Plugin pour IDA Pro 4.8 pour processeurs x86, MIPS, SPARC, PowerPC Analyse différentielle de deux binaires Analyse de fonctions par blocs Génération de signatures pour chaque fonction Nombre de blocs, nombre d arcs, nombre de calls Mise en correspondance des fonctions des deux binaires Mise en évidence des fonctions modifiées Visualisation des différences grâce aux graphes des fonctions Jusqu au niveau de l instruction Algorithme de mise en correspondance Nom des fonctions Signatures Arbre d appels aux fonctions Références aux chaînes de caractères OSSIR Septembre 2005 6

Applications (2/2) Diffie Plugin pour IDA Pro 4.8 pour processeur x86 Analyse différentielle de deux binaires Analyse de fonctions par blocs Génération de signatures type CRC32 pour chaque bloc et pour chaque fonction Mise en correspondance des fonctions des deux binaires Mise en évidence des fonctions modifiées Visualisation des différences grâce aux graphes des fonctions Algorithme de mise en correspondance Nom des fonctions Signatures Position dans le binaire Arbre d appels aux fonctions OSSIR Septembre 2005 7

Utilisations Qualifier une vulnérabilité suite à publication du correctif Déterminer le type de la vulnérabilité Les bulletins sont rarement explicites Déterminer l impact potentiel Facilité et fiabilité de l exploitation Dépendance à la régionalisation du système d exploitation À sa version (service pack) Trouver de nouvelles vulnérabilités en analysant les différences entre versions Vulnérabilités corrigées dans Windows XP SP2 Comparer différentes versions de «malware» Déterminer les similarités de code potentielles (vol?) Cas PearPC vs CherryOS OSSIR Septembre 2005 8

Démonstrations Diffie par Kostya Kortchinsky BinDiff par SABRE Security OSSIR Septembre 2005 9

Conclusion Les correctifs binaires sont souvent aussi explicites que des «diff» de code source L implémentation d un exploit dans les milieux compétents est une question d heures Les informations disponibles au public sont loin de refléter la réalité Retard de plusieurs jours, voire mois (Kill Bill) Qualité des exploits bien en deçà de ce qu il est possible de faire Les résultats des analyses différentielles restent souvent privés Trouver des 0days dans d autres applications grâce à une faille similaire est commun OSSIR Septembre 2005 10

Littérature Papiers Graph-based comparison of Executable Objects par Thomas Dullien et Rolf Rolles, SABRE Security Comparing binaries with graph isomorphisms par Todd Sabin, Bindview RAZOR Team Présentations Compare, Port, Navigate par Thomas Dullien et Rolf Rolles, SABRE Security Binary Comparison of Security Patch par Hume, NSFocus Structural Signature and Signature's Structure par Funnywei, Xfocus TEAM OSSIR Septembre 2005 11

Questions? Remerciements : Dave, Halvar, Gera, Security Labs, Team Rstack, Sécurité.org, Microsoft OSSIR Septembre 2005 12

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back